随着Internet的快速普及,Internet已经在社会政治、经济、文化、军事等领域中发挥着越来越大的作用。与此同时,在全球范围内,对计算机及网络基础设施的攻击行为也已经成为一个越来越严重和值得关注的问题,特别是各种政府机构的网站,更是成为黑客攻击的热门目标。对类似猖獗的入侵行为的察觉和防护成为各种机构(无论是商业或是政府机构)的一个日益迫切的要求。虽然对入侵检测方法及技术的研究已经有20多年的历程,但目前入侵检测系统仍处于相当初级的阶段,由于商业化产品在实施方法上大都采用类似于反病毒软件的硬编码机制,系统只能检测已知类型的攻击行为,但是对新的攻击往往无能为力。针对传统入侵检测系统的不足,本文研究了入侵检测技术和数据挖掘技术,针对网络审计数据的特点,提出一种新的入侵检测方法,该方法一方面采用了分而治之的思想扩展了FP-Growth算法,将整个数据库中频集的挖掘分解到一系列的分块滑动窗口中,这样大大减少了频集的搜索空间从而提高了频集挖掘的效率,另一方面该方法通过轴属性和参照属性限制了无用频集的生成,这样可以大大提高关联规则提取的质量从而提高用关联规则方法对入侵模式建模的准确性。同时,本文提出一种基于该方法的入侵检测模型,并给出一种将该模型应用于基于误用检测技术的入侵检测系统Snort中的解决方案,使Snort系统不仅能进行误用检测而且可以进行异常检测。最后,本文通过实验研究了该方法参数的选取对入侵效果和效率的影响,并通过实验证明了该方法的频集挖掘效率要优于FP-Growth算法。
本文来源: https://www.lw50.cn/article/90b295e8036cf884efa76ffb.html